不安全系統(tǒng)中的商務(wù)風(fēng)險與管理課件

不安全系統(tǒng)中的商務(wù)風(fēng)險與管理0301不安全系統(tǒng)中的商務(wù)風(fēng)險與管理03011☆了解不安全網(wǎng)絡(luò)和企業(yè)內(nèi)部網(wǎng)絡(luò)相關(guān)的風(fēng)險☆掌握商業(yè)交易過程中數(shù)據(jù)傳輸風(fēng)險和風(fēng)險控制手段☆掌握風(fēng)險管理模式和順序過程☆理解智能代理與電子商務(wù)的關(guān)系及其影響本章教學(xué)目標(biāo)本章關(guān)鍵術(shù)語☆不安全網(wǎng)絡(luò)☆風(fēng)險管理模式☆第三方保證☆智能代理0301☆了解不安全網(wǎng)絡(luò)和企業(yè)內(nèi)部網(wǎng)絡(luò)相關(guān)的風(fēng)險本章教學(xué)目標(biāo)本章關(guān)21與不安全通信網(wǎng)絡(luò)相關(guān)的風(fēng)險本節(jié)講述接入不安全網(wǎng)絡(luò)，尤其是Internet從事一系列商務(wù)（如：外部電子郵件、內(nèi)部地理上相分隔的部門間的電子郵件、市場營銷、電子銷售和采購系統(tǒng)）所面臨的風(fēng)險。03011與不安全通信網(wǎng)絡(luò)相關(guān)的風(fēng)險本節(jié)講述接入不安全網(wǎng)絡(luò)，尤其是31.1與不安全通信網(wǎng)絡(luò)相關(guān)的風(fēng)險虛假的或惡意的網(wǎng)站竊取訪問者的身份證信息與口令、竊取信用卡信息、偷窺訪問者的硬盤或從硬盤中上載文件注冊、虛假商業(yè)活動、“蟲子”從銷售代理及Internet服務(wù)商（ISP）處竊取用戶數(shù)據(jù)信用卡信息保存在銷售代理或ISP處信用卡信息失竊隱私與cookies的使用隱私權(quán)組織的反對用戶首次訪問網(wǎng)站，Cookies文件建立，分配用戶身份號碼，提高了網(wǎng)站訪問的效率Cookies被營銷公司利用03011.1與不安全通信網(wǎng)絡(luò)相關(guān)的風(fēng)險虛假的或惡意的網(wǎng)站03041.2銷售代理所面臨的風(fēng)險銷售代理與消費者同樣都面臨電子商務(wù)風(fēng)險客戶假冒假冒他人訂購免費服務(wù)或商品收貨拒付拒絕服務(wù)DoS襲擊拒絕服務(wù)襲擊用于破壞、關(guān)閉或削弱某電腦或網(wǎng)絡(luò)資源難以防范、追查SYN淹沒數(shù)據(jù)的失竊03011.2銷售代理所面臨的風(fēng)險銷售代理與消費者同樣都面臨電子商52與企業(yè)內(nèi)部網(wǎng)相關(guān)的風(fēng)險對于許多大型企業(yè)而言，公司企業(yè)內(nèi)部網(wǎng)的維護與安全已經(jīng)變得像一只難馴的野獸一般棘手。在一些大型企業(yè)中，單是能夠及時了解企業(yè)內(nèi)部網(wǎng)的數(shù)目及其確切位置就是一個不小的難題。內(nèi)部黑客的威脅03012與企業(yè)內(nèi)部網(wǎng)相關(guān)的風(fēng)險對于許多大型企業(yè)而言，公司企業(yè)內(nèi)部62.1離職員工的破壞活動離職員工真會對以前的雇主及其電腦系統(tǒng)進行報復(fù)性活動嗎？1998年的CSI/FBI調(diào)查顯示，89%的公司認為心懷不滿的員工會進行這類襲擊。03012.1離職員工的破壞活動離職員工真會對以前的雇主及其電腦系72.2在職員工的威脅在職員工也會給企業(yè)的電腦系統(tǒng)造成嚴重破壞。嗅探器嗅探－－企業(yè)內(nèi)部網(wǎng)信息（消息、文件、用戶身份、口令）如果由一條共享渠道傳輸，就存在著被另一個電腦站點截取的可能數(shù)據(jù)下載內(nèi)部數(shù)據(jù)資料共享電子郵件假冒社交伎倆電話、短信誘騙03012.2在職員工的威脅在職員工也會給企業(yè)的電腦系統(tǒng)造成嚴重破83貿(mào)易伙伴間商業(yè)交易數(shù)據(jù)傳輸中的風(fēng)險3.1企業(yè)內(nèi)部網(wǎng)、企業(yè)外部網(wǎng)及互聯(lián)網(wǎng)之間的關(guān)系

企業(yè)外部網(wǎng)是從事合作業(yè)務(wù)的貿(mào)易伙伴之間，包括供應(yīng)商、客戶、流通服務(wù)商及任何其他商家，利用Internet技術(shù)連接在一起的集團網(wǎng)絡(luò)。企業(yè)外部網(wǎng)與互聯(lián)網(wǎng)的區(qū)別何在？為這個問題做一個清楚的答案并不容易。企業(yè)外部網(wǎng)可以使用互聯(lián)網(wǎng)的路徑與互聯(lián)網(wǎng)服務(wù)供應(yīng)商（ISP）傳送數(shù)據(jù)。互聯(lián)網(wǎng)服務(wù)供應(yīng)商就是通過提供互聯(lián)網(wǎng)接入服務(wù)而贏利的公司。03013貿(mào)易伙伴間商業(yè)交易數(shù)據(jù)傳輸中的風(fēng)險3.1企業(yè)內(nèi)部網(wǎng)、企93.2數(shù)據(jù)截取在經(jīng)過Internet的數(shù)據(jù)傳輸問題上，無論是在形成企業(yè)外部網(wǎng)連接的兩個公司之間，還是在個體用戶與網(wǎng)上銷售代理或服務(wù)商之間，數(shù)據(jù)截獲都是一個很大的顧慮。圖6-4顯示了公司通過互聯(lián)網(wǎng)傳送數(shù)據(jù)所面臨的風(fēng)險。

圖64通過互聯(lián)網(wǎng)傳送的信息所面臨的風(fēng)險03013.2數(shù)據(jù)截取圖64通過互聯(lián)網(wǎng)傳送的信息所面臨的風(fēng)險010

3.3受保密措施維護的檔案文件、主文件與參考數(shù)據(jù)所面臨的風(fēng)險假如一名黑客闖入了系統(tǒng)，他都能造成什么危害呢？最為可能的危害是：◆毀壞數(shù)據(jù)——惡意的作惡者會刪除重要交易或主文件數(shù)據(jù)，意圖是破壞公司的運營?！舾膭訑?shù)據(jù)——惡意的作惡者會改動數(shù)據(jù)。◆未經(jīng)授權(quán)使用數(shù)據(jù)——作惡者會利用數(shù)據(jù)贏得對其競爭對手的主動?！舾膭討?yīng)用程序——作惡者會改動一個程序，從而導(dǎo)致它的錯誤運算。03013.3受保密措施維護的檔案文件、主文件與參考數(shù)據(jù)所面臨的114風(fēng)險管理模式風(fēng)險本身并不是一個壞事；風(fēng)險是發(fā)展所不可或缺的因素，而失敗往往又是增長知識的重要因素。但我們必須學(xué)會在風(fēng)險潛在的負面影響與其相關(guān)機遇所帶來的潛在效益之間把握好一個平衡。用來減少損失或傷害可能性的方法就是人們所稱的風(fēng)險管理。4.1風(fēng)險管理模式

圖6-5描述了一個風(fēng)險管理模式（riskmanagementparadigm）。該模式是一個連續(xù)的過程，它的設(shè)計是基于這樣一種認識，即風(fēng)險管理是一個連續(xù)不斷的過程。圖5.風(fēng)險管理模式03014風(fēng)險管理模式風(fēng)險本身并不是一個124.2電子商務(wù)風(fēng)險類型

電子商務(wù)是新的商業(yè)模式，也就有新商業(yè)的特征。作為新的商業(yè)模式，其風(fēng)險類型有：1、完整性風(fēng)險（1）用戶界面（userinterface）（2）處理（processing）（3）錯誤處理（errorproccssing）（4）界面（interface）（5）變化處理（changemanagement）（6）數(shù)據(jù)（data）（7）接入風(fēng)險業(yè)務(wù)流程（businessprocess）

應(yīng)用軟件（application）

數(shù)據(jù)和數(shù)據(jù)管理（dataandmanagement）

流程的環(huán)境（processingenvironment）

網(wǎng)絡(luò)（network）

硬件設(shè)備（physical）03014.2電子商務(wù)風(fēng)險類型電子商務(wù)是新的132、基礎(chǔ)設(shè)施風(fēng)險

基礎(chǔ)設(shè)施風(fēng)險（infrastructurerisk）指企業(yè)不具備完整的信息技術(shù)基礎(chǔ)設(shè)施而造成的風(fēng)險。

基礎(chǔ)設(shè)施風(fēng)險有下列內(nèi)容：◆組織計劃（organizationplanning）◆應(yīng)用系統(tǒng)的定義和開發(fā)（applicationsystemsdefinitionanddeployment）◆邏輯安全和安全管理（logicalsecurityandsecurityadministration）◆計算機和網(wǎng)絡(luò)操作（computerandnetworkoperations）◆數(shù)據(jù)和數(shù)據(jù)庫管理（dataanddatabasemanagement）◆核心業(yè)務(wù)數(shù)據(jù)恢復(fù)（businessdatacenterrecovery）03012、基礎(chǔ)設(shè)施風(fēng)險基礎(chǔ)設(shè)施風(fēng)險（infr143、

獲得性風(fēng)險

獲得性風(fēng)險（availabilityrisk）是指企業(yè)在獲得數(shù)據(jù)時的風(fēng)險，如破壞者經(jīng)常利用郵件轟炸來阻礙服務(wù)，或者對服務(wù)系統(tǒng)提出虛假請求，這給網(wǎng)絡(luò)用戶提供服務(wù)帶來了一種危險。

◆通過事先對行為的監(jiān)督和對系統(tǒng)問題的解決，能夠避免此類的風(fēng)險。

◆獲得性風(fēng)險與系統(tǒng)的短期中斷相關(guān)聯(lián)

◆獲得性風(fēng)險與信息處理過程長時間中斷也有關(guān)聯(lián)，其重點是諸如備份與應(yīng)急計劃等控制手段。4、其他與商務(wù)相關(guān)的風(fēng)險◆正確性風(fēng)險（validityrisk）◆效率風(fēng)險（efficiencyrisk）◆周期性風(fēng)險（cycletimerisk）◆報廢風(fēng)險（obsolescencerisk）◆業(yè)務(wù)中斷風(fēng)險（businessinterruptionrisk）◆產(chǎn)品失敗風(fēng)險（productfailrisk）03013、獲得性風(fēng)險獲得性風(fēng)險（a154.3內(nèi)部控制體系1、控制環(huán)境控制環(huán)境包括以下因素：◆品行、職業(yè)道德和能力◆董事會的指導(dǎo)及關(guān)注程度◆管理層的管理哲學(xué)與經(jīng)營風(fēng)格◆權(quán)力和責(zé)任的分配◆人力資源政策和措施2、風(fēng)險評估

風(fēng)險和風(fēng)險管理在其它地方已經(jīng)討論過。風(fēng)險評估是設(shè)計、評價內(nèi)部控制體系的一個重要組成部分。在企業(yè)層次上，需要考慮的風(fēng)險：◆外部因素◆內(nèi)部因素03014.3內(nèi)部控制體系1、控制環(huán)境0301163、控制行為

信息系統(tǒng)控制分為兩組：綜合控制（generalcontrol）和應(yīng)用控制（applicationcontrol），圖6列舉了這兩組控制的內(nèi)容。圖6信息系統(tǒng)控制03013、控制行為信息系統(tǒng)控制分為17

4、信息與溝通

良好的溝通渠道可以確保反饋信息及時傳達給相關(guān)主管人員，在安全評估各層次之間，計劃與執(zhí)行各階段之間，都應(yīng)該有溝通渠道。5、監(jiān)控高效的監(jiān)控應(yīng)該是一個不斷進行的過程而不是某一個孤立事件。如果發(fā)現(xiàn)問題，而指定人員由于工作繁忙無法做出反應(yīng)，公司的安全政策與實際做法之間就會出現(xiàn)安全漏洞，在這種情況下，實行響應(yīng)報告制度是十分必要的。響應(yīng)報告制度要求有關(guān)人員記錄下他們針對報告的情況所采取的具體措施。03014、信息與溝通0301184.4內(nèi)部控制在風(fēng)險管理中的作用除了傳統(tǒng)的獨立審計職能外，作為新的會計師職能，內(nèi)部控制的作用范圍正在日趨擴充到整個電子商務(wù)行業(yè)，尤其在信息系統(tǒng)。普華永道是能夠提供這類服務(wù)的代表，它有一個全球風(fēng)險管理服務(wù)（GRMS）分部，它可以提供下列服務(wù)：

1、戰(zhàn)略性風(fēng)險管理2、金融風(fēng)險管理3、運作與系統(tǒng)風(fēng)險管理4、技術(shù)風(fēng)險服務(wù)5、具體部署服務(wù)6、環(huán)境服務(wù)

03014.4內(nèi)部控制在風(fēng)險管理中的作用0301195控制風(fēng)險與實施計劃5.1控制支出不足與控制支出風(fēng)險控制支出不足（controlweakness）一詞用來形容實施控制的成本小于預(yù)期利潤的情況?？刂浦С鲲L(fēng)險（controlrisk）一詞則用來形容額外控制的預(yù)期利潤可能不會超過實施和保持這些控制的成本的情況。圖7風(fēng)險程度與相關(guān)費用03015控制風(fēng)險與實施計劃5.1控制支出不足與控制支出風(fēng)險圖205.2災(zāi)害拯救計劃即使是設(shè)計最好的系統(tǒng)也避免不了自然災(zāi)害。因此，所有的公司應(yīng)該制定一個災(zāi)害拯救計劃（disasterrecoveryplan），其目的是為了在因不可預(yù)見的人或自然災(zāi)害發(fā)生而造成操作中斷時能恢復(fù)操作。1、災(zāi)害拯救計劃的目標(biāo)

完善的拯救應(yīng)涉及以下目標(biāo)：◆評估薄弱環(huán)節(jié)◆防止和減少風(fēng)險◆設(shè)計出高效益-低成本的解決方案◆最大限度地減少業(yè)務(wù)中斷，保障業(yè)務(wù)的繼續(xù)進行◆提供被選的互聯(lián)網(wǎng)接入模式◆恢復(fù)丟失的數(shù)據(jù)◆提供災(zāi)害拯救的步驟◆訓(xùn)練雇員熟悉災(zāi)害拯救步驟2、備用第二地址

服務(wù)器的連續(xù)性是評判災(zāi)害拯救計劃好壞的關(guān)鍵因素。如果公司原地址不能服務(wù)，那么就需要第二地址來繼續(xù)服務(wù)。03015.2災(zāi)害拯救計劃即使是設(shè)計最好的系216電子商務(wù)的第三方保證什么是電子商務(wù)的第三方？廣義地說，是電子商務(wù)交易雙方以外的部門或機構(gòu)。第三方主要是完成商務(wù)背景的處理，起到商務(wù)運作中的標(biāo)準(zhǔn)制定、合法性確認、影響機制和糾紛解決等作用，以降低電子商務(wù)運作中雙方交易的風(fēng)險，這一些就是電子商務(wù)的第三方保證。1標(biāo)準(zhǔn)制定為了降低交易的風(fēng)險，標(biāo)準(zhǔn)制定必須涵蓋交易的全過程，主要包括：數(shù)據(jù)安全、商業(yè)政策、交易處理完整性、數(shù)據(jù)私密和網(wǎng)站標(biāo)記等。2合法性確認

必須在符合電子商務(wù)法律規(guī)范的框架下，還要包括：

◆建立行業(yè)支持這種規(guī)范的認證；◆外部中介機構(gòu)促使認證過程的合法化；◆公司的優(yōu)良承諾保證交易執(zhí)行，減少或杜絕“檸檬”問題。03016電子商務(wù)的第三方保證什么是223影響機制影響機制能夠刺激交易雙方履行義務(wù)，以減少交易雙方的風(fēng)險。借助信息中間媒介（informationintermediaries）的服務(wù)和網(wǎng)站標(biāo)記，可以有效低刺激影響機制。信息中間媒介指的是專門從事于不同行業(yè)生產(chǎn)的產(chǎn)品和服務(wù)的質(zhì)量進行評估的公司或組織。這種組織對消費者交易雙方有很大的促進作用。4解決糾紛

解決糾紛的手段主要有直接談判、訴諸法律或者采用武力等。解決糾紛的機構(gòu)或組織，除了傳統(tǒng)法律機構(gòu)外，網(wǎng)上法庭、認證機構(gòu)、網(wǎng)站標(biāo)記組織等等，應(yīng)該在各自的范圍內(nèi)，促使糾紛的解決。03013影響機制0301237智能代理與電子商務(wù)7.1智能代理的定義智能代理是一種輔助使用者并代表其行動的軟件。智能代理的工作原理就是讓使用者向代理軟件分派（delegate）他們本來可以自己執(zhí)行的任務(wù)。代理可以像助理一樣自動執(zhí)行重復(fù)任務(wù)，記住你忘記的事情，智能化地總結(jié)復(fù)雜的數(shù)據(jù)，向你學(xué)習(xí)，甚至并向你建議。7.2智能代理的能力

智能代理能夠執(zhí)行許多功能。吉爾伯特（Gilbert，1997）定義了三個主要標(biāo)準(zhǔn)：代理、智能、移動性?！舸?。能夠進行自主行動的程度

◆智能。能夠理解其自身內(nèi)部狀態(tài)和外部環(huán)境的程度智能水平可以根據(jù)其反應(yīng)、適應(yīng)、采取主動的能力進一步分類?！綮`活性（也稱為代理的交際性）。代理的靈活性是指軟件在不同機器之間移動并在外部計算機上執(zhí)行某些工作的能力。03017智能代理與電子商務(wù)7.1智能代理的定義0301247.3代理組合

多個代理一起工作來達成多樣的、然而是獨立目標(biāo)的系統(tǒng)和環(huán)境稱為代理組合（agentsociety）。設(shè)計代理組合時頭腦中至少要記住以下五個特點：◆開放性◆組合的復(fù)雜性◆界面技術(shù)◆協(xié)商◆內(nèi)部控制方法7.4智能代理與電子商務(wù)智能代理可能通過很多途徑影響電子商務(wù)。它們可能是：◆幫助實體更有效、更高效地找到他們的目標(biāo)顧客，包括為了營銷目的以及運送商品或信息服務(wù)?！魩椭櫩透行?、更高效地搜集產(chǎn)品信息并進行價格和產(chǎn)品特點的比較；◆向顧客提供更用戶化的服務(wù)；◆幫助企業(yè)更有效、更高效地觀察環(huán)境，以便與新的發(fā)展同步；◆為企業(yè)開發(fā)新的地區(qū)時常；◆提高電子交易談判的速度和效率03017.3代理組合多個代理一起工作來達成多25圖10應(yīng)用智能代理的電子商務(wù)0301圖10應(yīng)用智能代理的電子商務(wù)0301267.5代理的局限性代理技術(shù)有其有前途的一面，但它也有它的局限性。Jennings和Woolridge（1998）指出了代理模式的三種局限：1、沒有總體系統(tǒng)控制器（systemcontroller）代理技術(shù)對下列系統(tǒng)并不合適：必須維持全球限制的系統(tǒng)；必須保障實時反應(yīng)的系統(tǒng)；必須比開死鎖或活鎖的系統(tǒng)。2、非全球視角（globalperspective）觀點代理的當(dāng)?shù)厍闆r決定了代理的行為。從全球的觀點來看，代理可能因其“狹隘的視野”而做出次優(yōu)的決策。多代理系統(tǒng)必須提高合作和談判技術(shù)，以便能產(chǎn)生更多的最佳全球決策。3、信任（trust）和委托（delegation）個體必須信任代理所使用的基本技術(shù)和代理的實際知識基礎(chǔ)，以便能放心地把工作委托給代理。7.6代理與安全代理具有靈活的特點，而這種靈活性帶來了安全問題。要求在遠程計算機上執(zhí)行程序的靈活的代理對安全系統(tǒng)提出了挑戰(zhàn)。在代理模塊中出現(xiàn)惡性代碼的危險是存在的。管理者必須意識到允許代理組合運行的系統(tǒng)所面臨的風(fēng)險。03017.5代理的局限性代理技術(shù)有其有27復(fù)習(xí)題1、什么是cookies？2、嗅探器正反兩面的用途有哪些？3、互聯(lián)網(wǎng)傳送信息的風(fēng)險有哪些？4、智能代理的風(fēng)險是什么？思考題1、風(fēng)險管理模式的過程是如何表現(xiàn)的？2、討論Cookies對電子商務(wù)交易的影響。3、討論Cookies的道德和不道德用途。4、智能代理的使用對電子商務(wù)模式有針對性嗎？0301復(fù)習(xí)題1、什么是cookies？思考題1、風(fēng)險管理模式的過程28演講完畢，謝謝觀看！演講完畢，謝謝觀看！29不安全系統(tǒng)中的商務(wù)風(fēng)險與管理0301不安全系統(tǒng)中的商務(wù)風(fēng)險與管理030130☆了解不安全網(wǎng)絡(luò)和企業(yè)內(nèi)部網(wǎng)絡(luò)相關(guān)的風(fēng)險☆掌握商業(yè)交易過程中數(shù)據(jù)傳輸風(fēng)險和風(fēng)險控制手段☆掌握風(fēng)險管理模式和順序過程☆理解智能代理與電子商務(wù)的關(guān)系及其影響本章教學(xué)目標(biāo)本章關(guān)鍵術(shù)語☆不安全網(wǎng)絡(luò)☆風(fēng)險管理模式☆第三方保證☆智能代理0301☆了解不安全網(wǎng)絡(luò)和企業(yè)內(nèi)部網(wǎng)絡(luò)相關(guān)的風(fēng)險本章教學(xué)目標(biāo)本章關(guān)311與不安全通信網(wǎng)絡(luò)相關(guān)的風(fēng)險本節(jié)講述接入不安全網(wǎng)絡(luò)，尤其是Internet從事一系列商務(wù)（如：外部電子郵件、內(nèi)部地理上相分隔的部門間的電子郵件、市場營銷、電子銷售和采購系統(tǒng)）所面臨的風(fēng)險。03011與不安全通信網(wǎng)絡(luò)相關(guān)的風(fēng)險本節(jié)講述接入不安全網(wǎng)絡(luò)，尤其是321.1與不安全通信網(wǎng)絡(luò)相關(guān)的風(fēng)險虛假的或惡意的網(wǎng)站竊取訪問者的身份證信息與口令、竊取信用卡信息、偷窺訪問者的硬盤或從硬盤中上載文件注冊、虛假商業(yè)活動、“蟲子”從銷售代理及Internet服務(wù)商（ISP）處竊取用戶數(shù)據(jù)信用卡信息保存在銷售代理或ISP處信用卡信息失竊隱私與cookies的使用隱私權(quán)組織的反對用戶首次訪問網(wǎng)站，Cookies文件建立，分配用戶身份號碼，提高了網(wǎng)站訪問的效率Cookies被營銷公司利用03011.1與不安全通信網(wǎng)絡(luò)相關(guān)的風(fēng)險虛假的或惡意的網(wǎng)站030331.2銷售代理所面臨的風(fēng)險銷售代理與消費者同樣都面臨電子商務(wù)風(fēng)險客戶假冒假冒他人訂購免費服務(wù)或商品收貨拒付拒絕服務(wù)DoS襲擊拒絕服務(wù)襲擊用于破壞、關(guān)閉或削弱某電腦或網(wǎng)絡(luò)資源難以防范、追查SYN淹沒數(shù)據(jù)的失竊03011.2銷售代理所面臨的風(fēng)險銷售代理與消費者同樣都面臨電子商342與企業(yè)內(nèi)部網(wǎng)相關(guān)的風(fēng)險對于許多大型企業(yè)而言，公司企業(yè)內(nèi)部網(wǎng)的維護與安全已經(jīng)變得像一只難馴的野獸一般棘手。在一些大型企業(yè)中，單是能夠及時了解企業(yè)內(nèi)部網(wǎng)的數(shù)目及其確切位置就是一個不小的難題。內(nèi)部黑客的威脅03012與企業(yè)內(nèi)部網(wǎng)相關(guān)的風(fēng)險對于許多大型企業(yè)而言，公司企業(yè)內(nèi)部352.1離職員工的破壞活動離職員工真會對以前的雇主及其電腦系統(tǒng)進行報復(fù)性活動嗎？1998年的CSI/FBI調(diào)查顯示，89%的公司認為心懷不滿的員工會進行這類襲擊。03012.1離職員工的破壞活動離職員工真會對以前的雇主及其電腦系362.2在職員工的威脅在職員工也會給企業(yè)的電腦系統(tǒng)造成嚴重破壞。嗅探器嗅探－－企業(yè)內(nèi)部網(wǎng)信息（消息、文件、用戶身份、口令）如果由一條共享渠道傳輸，就存在著被另一個電腦站點截取的可能數(shù)據(jù)下載內(nèi)部數(shù)據(jù)資料共享電子郵件假冒社交伎倆電話、短信誘騙03012.2在職員工的威脅在職員工也會給企業(yè)的電腦系統(tǒng)造成嚴重破373貿(mào)易伙伴間商業(yè)交易數(shù)據(jù)傳輸中的風(fēng)險3.1企業(yè)內(nèi)部網(wǎng)、企業(yè)外部網(wǎng)及互聯(lián)網(wǎng)之間的關(guān)系

企業(yè)外部網(wǎng)是從事合作業(yè)務(wù)的貿(mào)易伙伴之間，包括供應(yīng)商、客戶、流通服務(wù)商及任何其他商家，利用Internet技術(shù)連接在一起的集團網(wǎng)絡(luò)。企業(yè)外部網(wǎng)與互聯(lián)網(wǎng)的區(qū)別何在？為這個問題做一個清楚的答案并不容易。企業(yè)外部網(wǎng)可以使用互聯(lián)網(wǎng)的路徑與互聯(lián)網(wǎng)服務(wù)供應(yīng)商（ISP）傳送數(shù)據(jù)。互聯(lián)網(wǎng)服務(wù)供應(yīng)商就是通過提供互聯(lián)網(wǎng)接入服務(wù)而贏利的公司。03013貿(mào)易伙伴間商業(yè)交易數(shù)據(jù)傳輸中的風(fēng)險3.1企業(yè)內(nèi)部網(wǎng)、企383.2數(shù)據(jù)截取在經(jīng)過Internet的數(shù)據(jù)傳輸問題上，無論是在形成企業(yè)外部網(wǎng)連接的兩個公司之間，還是在個體用戶與網(wǎng)上銷售代理或服務(wù)商之間，數(shù)據(jù)截獲都是一個很大的顧慮。圖6-4顯示了公司通過互聯(lián)網(wǎng)傳送數(shù)據(jù)所面臨的風(fēng)險。

圖64通過互聯(lián)網(wǎng)傳送的信息所面臨的風(fēng)險03013.2數(shù)據(jù)截取圖64通過互聯(lián)網(wǎng)傳送的信息所面臨的風(fēng)險039

3.3受保密措施維護的檔案文件、主文件與參考數(shù)據(jù)所面臨的風(fēng)險假如一名黑客闖入了系統(tǒng)，他都能造成什么危害呢？最為可能的危害是：◆毀壞數(shù)據(jù)——惡意的作惡者會刪除重要交易或主文件數(shù)據(jù)，意圖是破壞公司的運營?！舾膭訑?shù)據(jù)——惡意的作惡者會改動數(shù)據(jù)。◆未經(jīng)授權(quán)使用數(shù)據(jù)——作惡者會利用數(shù)據(jù)贏得對其競爭對手的主動。◆改動應(yīng)用程序——作惡者會改動一個程序，從而導(dǎo)致它的錯誤運算。03013.3受保密措施維護的檔案文件、主文件與參考數(shù)據(jù)所面臨的404風(fēng)險管理模式風(fēng)險本身并不是一個壞事；風(fēng)險是發(fā)展所不可或缺的因素，而失敗往往又是增長知識的重要因素。但我們必須學(xué)會在風(fēng)險潛在的負面影響與其相關(guān)機遇所帶來的潛在效益之間把握好一個平衡。用來減少損失或傷害可能性的方法就是人們所稱的風(fēng)險管理。4.1風(fēng)險管理模式

圖6-5描述了一個風(fēng)險管理模式（riskmanagementparadigm）。該模式是一個連續(xù)的過程，它的設(shè)計是基于這樣一種認識，即風(fēng)險管理是一個連續(xù)不斷的過程。圖5.風(fēng)險管理模式03014風(fēng)險管理模式風(fēng)險本身并不是一個414.2電子商務(wù)風(fēng)險類型

電子商務(wù)是新的商業(yè)模式，也就有新商業(yè)的特征。作為新的商業(yè)模式，其風(fēng)險類型有：1、完整性風(fēng)險（1）用戶界面（userinterface）（2）處理（processing）（3）錯誤處理（errorproccssing）（4）界面（interface）（5）變化處理（changemanagement）（6）數(shù)據(jù)（data）（7）接入風(fēng)險業(yè)務(wù)流程（businessprocess）

應(yīng)用軟件（application）

數(shù)據(jù)和數(shù)據(jù)管理（dataandmanagement）

流程的環(huán)境（processingenvironment）

網(wǎng)絡(luò)（network）

硬件設(shè)備（physical）03014.2電子商務(wù)風(fēng)險類型電子商務(wù)是新的422、基礎(chǔ)設(shè)施風(fēng)險

基礎(chǔ)設(shè)施風(fēng)險（infrastructurerisk）指企業(yè)不具備完整的信息技術(shù)基礎(chǔ)設(shè)施而造成的風(fēng)險。

基礎(chǔ)設(shè)施風(fēng)險有下列內(nèi)容：◆組織計劃（organizationplanning）◆應(yīng)用系統(tǒng)的定義和開發(fā)（applicationsystemsdefinitionanddeployment）◆邏輯安全和安全管理（logicalsecurityandsecurityadministration）◆計算機和網(wǎng)絡(luò)操作（computerandnetworkoperations）◆數(shù)據(jù)和數(shù)據(jù)庫管理（dataanddatabasemanagement）◆核心業(yè)務(wù)數(shù)據(jù)恢復(fù)（businessdatacenterrecovery）03012、基礎(chǔ)設(shè)施風(fēng)險基礎(chǔ)設(shè)施風(fēng)險（infr433、

獲得性風(fēng)險

獲得性風(fēng)險（availabilityrisk）是指企業(yè)在獲得數(shù)據(jù)時的風(fēng)險，如破壞者經(jīng)常利用郵件轟炸來阻礙服務(wù)，或者對服務(wù)系統(tǒng)提出虛假請求，這給網(wǎng)絡(luò)用戶提供服務(wù)帶來了一種危險。

◆通過事先對行為的監(jiān)督和對系統(tǒng)問題的解決，能夠避免此類的風(fēng)險。

◆獲得性風(fēng)險與系統(tǒng)的短期中斷相關(guān)聯(lián)

◆獲得性風(fēng)險與信息處理過程長時間中斷也有關(guān)聯(lián)，其重點是諸如備份與應(yīng)急計劃等控制手段。4、其他與商務(wù)相關(guān)的風(fēng)險◆正確性風(fēng)險（validityrisk）◆效率風(fēng)險（efficiencyrisk）◆周期性風(fēng)險（cycletimerisk）◆報廢風(fēng)險（obsolescencerisk）◆業(yè)務(wù)中斷風(fēng)險（businessinterruptionrisk）◆產(chǎn)品失敗風(fēng)險（productfailrisk）03013、獲得性風(fēng)險獲得性風(fēng)險（a444.3內(nèi)部控制體系1、控制環(huán)境控制環(huán)境包括以下因素：◆品行、職業(yè)道德和能力◆董事會的指導(dǎo)及關(guān)注程度◆管理層的管理哲學(xué)與經(jīng)營風(fēng)格◆權(quán)力和責(zé)任的分配◆人力資源政策和措施2、風(fēng)險評估

風(fēng)險和風(fēng)險管理在其它地方已經(jīng)討論過。風(fēng)險評估是設(shè)計、評價內(nèi)部控制體系的一個重要組成部分。在企業(yè)層次上，需要考慮的風(fēng)險：◆外部因素◆內(nèi)部因素03014.3內(nèi)部控制體系1、控制環(huán)境0301453、控制行為

信息系統(tǒng)控制分為兩組：綜合控制（generalcontrol）和應(yīng)用控制（applicationcontrol），圖6列舉了這兩組控制的內(nèi)容。圖6信息系統(tǒng)控制03013、控制行為信息系統(tǒng)控制分為46

4、信息與溝通

良好的溝通渠道可以確保反饋信息及時傳達給相關(guān)主管人員，在安全評估各層次之間，計劃與執(zhí)行各階段之間，都應(yīng)該有溝通渠道。5、監(jiān)控高效的監(jiān)控應(yīng)該是一個不斷進行的過程而不是某一個孤立事件。如果發(fā)現(xiàn)問題，而指定人員由于工作繁忙無法做出反應(yīng)，公司的安全政策與實際做法之間就會出現(xiàn)安全漏洞，在這種情況下，實行響應(yīng)報告制度是十分必要的。響應(yīng)報告制度要求有關(guān)人員記錄下他們針對報告的情況所采取的具體措施。03014、信息與溝通0301474.4內(nèi)部控制在風(fēng)險管理中的作用除了傳統(tǒng)的獨立審計職能外，作為新的會計師職能，內(nèi)部控制的作用范圍正在日趨擴充到整個電子商務(wù)行業(yè)，尤其在信息系統(tǒng)。普華永道是能夠提供這類服務(wù)的代表，它有一個全球風(fēng)險管理服務(wù)（GRMS）分部，它可以提供下列服務(wù)：

1、戰(zhàn)略性風(fēng)險管理2、金融風(fēng)險管理3、運作與系統(tǒng)風(fēng)險管理4、技術(shù)風(fēng)險服務(wù)5、具體部署服務(wù)6、環(huán)境服務(wù)

03014.4內(nèi)部控制在風(fēng)險管理中的作用0301485控制風(fēng)險與實施計劃5.1控制支出不足與控制支出風(fēng)險控制支出不足（controlweakness）一詞用來形容實施控制的成本小于預(yù)期利潤的情況?？刂浦С鲲L(fēng)險（controlrisk）一詞則用來形容額外控制的預(yù)期利潤可能不會超過實施和保持這些控制的成本的情況。圖7風(fēng)險程度與相關(guān)費用03015控制風(fēng)險與實施計劃5.1控制支出不足與控制支出風(fēng)險圖495.2災(zāi)害拯救計劃即使是設(shè)計最好的系統(tǒng)也避免不了自然災(zāi)害。因此，所有的公司應(yīng)該制定一個災(zāi)害拯救計劃（disasterrecoveryplan），其目的是為了在因不可預(yù)見的人或自然災(zāi)害發(fā)生而造成操作中斷時能恢復(fù)操作。1、災(zāi)害拯救計劃的目標(biāo)

完善的拯救應(yīng)涉及以下目標(biāo)：◆評估薄弱環(huán)節(jié)◆防止和減少風(fēng)險◆設(shè)計出高效益-低成本的解決方案◆最大限度地減少業(yè)務(wù)中斷，保障業(yè)務(wù)的繼續(xù)進行◆提供被選的互聯(lián)網(wǎng)接入模式◆恢復(fù)丟失的數(shù)據(jù)◆提供災(zāi)害拯救的步驟◆訓(xùn)練雇員熟悉災(zāi)害拯救步驟2、備用第二地址

服務(wù)器的連續(xù)性是評判災(zāi)害拯救計劃好壞的關(guān)鍵因素。如果公司原地址不能服務(wù)，那么就需要第二地址來繼續(xù)服務(wù)。03015.2災(zāi)害拯救計劃即使是設(shè)計最好的系506電子商務(wù)的第三方保證什么是電子商務(wù)的第三方？廣義地說，是電子商務(wù)交易雙方以外的部門或機構(gòu)。第三方主要是完成商務(wù)背景的處理，起到商務(wù)運作中的標(biāo)準(zhǔn)制定、合法性確認、影響機制和糾紛解決等作用，以降低電子商務(wù)運作中雙方交易的風(fēng)險，這一些就是電子商務(wù)的第三方保證。1標(biāo)準(zhǔn)制定為了降低交易的風(fēng)險，標(biāo)準(zhǔn)制定必須涵蓋交易的全過程，主要包括：數(shù)據(jù)安全、商業(yè)政策、交易處理完整性、數(shù)據(jù)私密和網(wǎng)站標(biāo)記等。2合法性確認

必須在符合電子商務(wù)法律規(guī)范的框架下，還要包括：

◆建立行業(yè)支持這種規(guī)范的認證；◆外部中介機構(gòu)促使認證過程的合法化；◆公司的優(yōu)良承諾保證交易執(zhí)行，減少或杜絕“檸檬”問題。03016電子商務(wù)的第三方保證什么是513影響機制影響機制能夠刺激交易雙方履行義務(wù)，以減少交易雙方的風(fēng)險。借助信息中間媒介（informationintermediaries）的服務(wù)和網(wǎng)站標(biāo)記，可以有效低刺激影響機制。信息中間媒介指的是專門從事于不同行業(yè)生產(chǎn)的產(chǎn)品和服務(wù)的質(zhì)量進行評估的公司或組織。這種組織對消費者交易雙方有很大的促進作用。4解決糾紛

解決糾紛的手段主要有直接談判、訴諸法律或者采用武力等。解決糾紛的機構(gòu)或組織，除了傳統(tǒng)法律機構(gòu)外，網(wǎng)上法庭、認證機構(gòu)、網(wǎng)站標(biāo)記組織等等，應(yīng)該在各自的范圍內(nèi)，促使糾紛的解決。03013影響機制0301527智能代理與電子商務(wù)7.1智能代理的定義智能代理是一種輔助使用者并代表其行動的軟件。智能代理的工作原理就是讓使用者向代理軟件分派（delegate）他們本來可以自己執(zhí)行的任務(wù)。代理可以像助理一樣自動執(zhí)行重復(fù)任務(wù)，記住你忘記的事情，智能化地總結(jié)復(fù)雜的數(shù)據(jù)，向你學(xué)習(xí)，甚至并向你建議。7.2智能代理的能力

智能代理能夠執(zhí)行許多功能。吉爾伯特（Gilbert，1997）定義了三個主要標(biāo)準(zhǔn)：代理、智能、移動性。